TSV 18.05.2020
Työntekijöiden sijaintitietojen käsittely ja vaikutustenarviointi
sijaintitiedot - vaikutustenarviointi - työelämän tietosuoja
| Säädösperusta: | EU:n yleisen tietosuoja-asetuksen mukainen päätös |
|---|---|
| Antopäivä: | 18.05.2020 |
| Diaarinumero: | 531/161/2020 |
ASIA
Tietosuojavaltuutettu on saanut yhteydenoton koskien rekisterinpitäjän toimintaa. Yhteydenotto on koskenut ajotietojärjestelmästä saatavien sijaintitietojen käyttöä työntekijöiden työajan seurantaa varten. Tietosuojavaltuutetun toimisto on selvittänyt, onko järjestelmän käyttöönoton yhteydessä noudatettu tietosuojaa koskevaa lainsäädäntöä erityisesti tietosuojaa koskevan vaikutustenarvioinnin osalta.
Tietosuojavaltuutettu on pyytänyt asiassa selvitystä 31.01.2020 ja toimittanut asiasta laaditun alustavan arvion kuultavaksi 24.02.2020. Yhtiö on antanut vastauksen selvityspyyntöön 17.02.2020 ja kommentoinut alustavaa arviota 20.03.2020.
Rekisterinpitäjän lausuma
Rekisterinpitäjä ei ole suorittanut tietosuoja-asetuksen 35 artiklan mukaista tietosuojaa koskevaa vaikutustenarviointia ajotietojärjestelmän osalta, sillä se ei ole havainnut vaikutustenarvioinnin tekemiselle velvollisuutta tai tarvetta.
Sovellettava lainsäädäntö ja oikeusohjeet
Euroopan parlamentin ja neuvoston yleinen tietosuoja-asetus (EU) 2016/679 (myöhemmin tietosuoja-asetus) 35 artikla kohdat 1, 3, 4 ja 7
tietosuoja-asetus 24 artikla 1 kohta
tietosuoja-asetus 25 artikla 1 kohta
tietosuoja-asetus 32 artikla 1 kohta
tietosuoja-asetus 58 artiklan 2 (b) ja (i) kohdat
tietosuoja-asetus 83 artikla kohdat 1,2,3 ja 4
Tietosuojatyöryhmän WP248 ohje tietosuojaa koskevasta vaikutustenarvioinnista ja keinoista selvittää ”liittyykö käsittelyyn todennäköisesti” asetuksessa (EU) 2016/679 tarkoitettu "korkea riski" (annettu 04.04.2017)
Tietosuojatyöryhmän 17/FI WP 253 3.10.2017 antama ”Asetuksessa 2016/679 tarkoitettujen hallinnollisten sakkojen soveltamista ja määräämistä koskevat suuntaviivat”-ohje (annettu 3.10.2017)
Tietosuojavaltuutetun julkaisema luettelo käsittelytoimien tyypeistä, joiden yhteydessä rekisterinpitäjän tulee tehdä tietosuojaa koskeva vaikutustenarviointi. https://tietosuoja.fi/luettelo-vaikutustenarviointia-edellyttavista-kasittelytoimista (julkaistu virallisessa lehdessä 73/27.6.2018, päivitetty ja julkaistu päivitetty versio virallisessa lehdessä 2/2019 ja tietosuojavaltuutetun verkkosivuilla 21.12.2018)
Oikeudellinen kysymys
Tietosuojavaltuutettu arvioi ja ratkaisee asian yleisen tietosuoja-asetuksen (EU) 2016/679 pohjalta. Asiassa on ollut kysymys siitä, onko rekisterinpitäjä täyttänyt sille tietosuoja-asetuksen 35 artiklan nojalla mahdollisesti asetetun velvollisuuden suorittaa tietosuojaa koskeva vaikutustenarviointi.
Asiassa on tietosuojavaltuutetun ratkaistavana:
Onko rekisterinpitäjän ajopäiväkirjajärjestelmän avulla keräämien työntekijöiden sijaintitietojen käsittely työajan seurantaa varten sellaista tietosuoja-asetuksen 35 artiklassa tarkoitettua henkilötietojen käsittelyä, joka edellyttää tietosuojaa koskevan vaikutustenarvioinnin tekemistä.
Mikäli katsotaan, että rekisterinpitäjän olisi tullut suorittaa tietosuoja-asetuksen 35 artiklan mukainen vaikutustenarviointi, asiassa on ratkaistavana, onko rekisterinpitäjä täyttänyt sen tietosuoja-asetuksen 35 artiklan mukaisen velvollisuuden.
Onko rekisterinpitäjä toteuttanut riittävät organisatoriset ja/tai tekniset toimenpiteet, jotta sisäänrakennettu ja oletusarvoinen tietosuoja tietosuoja-asetuksen 25 artiklan mukaisesti toteutuu ja joilla voidaan tietosuoja-asetuksen 24 artiklan mukaan varmistaa ja osoittaa, että tietosuoja-asetusta noudatetaan.
Mikäli katsotaan, että rekisterinpitäjän toiminta on ollut edellä mainitun tavoin tietosuoja-asetuksen vastaista tai puutteellista, asiassa on ratkaistavana se, mikä seuraamus laiminlyönnistä on rekisterinpitäjälle määrättävä.
Asiassa on tietosuojavaltuutetun seuraamuskollegion ratkaistavana:
Mikäli katsotaan, että rekisterinpitäjän toiminta on edellä mainituissa kohdissa kuvatuin tavoin yleisen tietosuoja-asetuksen säännösten vastaista tai puutteellista asiassa on ratkaistavana se, tuleeko rekisterinpitäjälle asettaa tietosuoja-asetuksen 58 artiklan 2 (i) kohdan mukainen hallinnollinen seuraamusmaksu muiden mahdollisten seuraamusten sijasta tai lisäksi, sekä mahdollisesti määrättävän hallinnollisen seuraamusmaksun määrä.
TIETOSUOJAVALTUUTETUN PÄÄTÖS JA PERUSTELUT
Päätös
Rekisterinpitäjän olisi tullut tietosuoja-asetuksen 35 artiklan nojalla suorittaa tietosuojaa koskeva vaikutustenarviointi nyt käsiteltävä olevien työntekijöiden sijaintiin liittyvien käsittelytoimien osalta.
Rekisterinpitäjä ei ole täyttänyt sen tietosuoja-asetuksen 35 artiklan mukaista velvollisuuttaan suorittaa tietosuojaa koskeva vaikutustenarviointi nyt käsiteltävänä olevien käsittelytoimien osalta.
Rekisterinpitäjä ei ole ajopäiväkirjan avulla saatavien sijaintitietojen käsittelytapojen määrittelyn ja itse käsittelyn yhteydessä toteuttanut tietosuoja-asetuksen 25 artiklan mukaisia riittäviä organisatorisia tai teknisiä toimenpiteitä, jotta tietosuojaperiaatteiden toteutuminen olisi saatu osaksi henkilötietojen käsittelyä ja jotta käsittely vastaisi tämän asetuksen vaatimuksia ja rekisteröityjen oikeuksia suojattaisiin. Rekisterinpitäjä ei myöskään ole tietosuoja-asetuksen 24 artiklan mukaisesti varmistanut ja osoittanut, että tietosuoja-asetusta noudatetaan.
Tietosuojavaltuutettu antaa rekisterinpitäjälle tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukaisen huomautuksen tietosuoja-asetuksen 35 artiklan mukaisen tietosuojaa koskevan vaikutustenarvioinnin tekemättä jättämisen johdosta sekä tietosuoja-asetuksen 24 ja 25 artikloiden mukaisiin sisäänrakennetun ja oletusarvoiseen henkilötietojen käsittelyn periaatteen sekä rekisterinpitäjän vastuun toteuttamiseen liittyvien puutteiden johdosta.
Perustelut
1. Velvollisuus laatia vaikutustenarviointi
SOVELLETTU LAINSÄÄDÄNTÖ JA OIKEUSOHJEET
Euroopan parlamentin ja neuvoston yleistä tietosuoja-asetuksen (EU) 2016/679 (tietosuoja-asetus) 35 artiklan mukaan:
1. Jos tietyntyyppinen käsittely etenkin uutta teknologiaa käytettäessä todennäköisesti aiheuttaa – käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset huomioon ottaen – luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin, rekisterinpitäjän on ennen käsittelyä toteutettava arviointi suunniteltujen käsittelytoimien vaikutuksista henkilötietojen suojalle. Yhtä arviota voidaan käyttää samankaltaisiin vastaavia korkeita riskejä aiheuttaviin käsittelytoimiin.
2. Tietosuojaa koskevaa vaikutustenarviointia tehdessään rekisterinpitäjän on pyydettävä neuvoja tietosuojavastaavalta, jos sellainen on nimitetty.
3. Edellä 1 kohdassa tarkoitettu tietosuojaa koskeva vaikutustenarviointi vaaditaan erityisesti tapauksissa joissa:
a) luonnollisten henkilöiden henkilökohtaisten ominaisuuksien järjestelmällinen ja kattava arviointi, joka perustuu automaattiseen käsittelyyn, kuten profilointiin, ja johtaa päätöksiin, joilla on luonnollista henkilöä koskevia oikeusvaikutuksia tai jotka vaikuttavat luonnolliseen henkilöön vastaavalla tavalla merkittävästi;
b) laajamittainen käsittely, joka kohdistuu 9 artiklan 1 kohdassa tarkoitettuihin erityisiin henkilötietoryhmiin tai 10 artiklassa tarkoitettuihin rikostuomioita tai rikkomuksia koskeviin tietoihin; tai
c) yleisölle avoimen alueen järjestelmällinen valvonta laajamittaisesti.
4. Valvontaviranomaisen on laadittava ja julkaistava luettelo käsittelytoimien tyypeistä, joiden yhteydessä vaaditaan 1 kohdan nojalla tietosuojaa koskeva vaikutustenarviointi. Valvontaviranomaisen on toimitettava tällaiset luettelot 68 artiklassa tarkoitetulle neuvostolle.
Tietosuojavaltuutettu on kansallisena valvontaviranomaisena laatinut ja julkaissut tietosuoja-asetuksen 35 artiklan 4 kohdan mukaisen luettelon käsittelytoimien tyypeistä, joiden yhteydessä rekisterinpitäjän tulee tehdä tietosuojaa koskeva vaikutustenarviointi.
Tietosuojavaltuutetun toimisto on katsonut, että seuraavien käsittelytoimien yhteydessä tulee tehdä vaikutustenarviointi:
Sijaintitiedot
Kun sijaintietoja käsitellään ja vähintään yksi seuraavista kriteereistä täyttyy
•sijaintitietoja käsitellään henkilön arvioimiseksi tai pisteyttämiseksi
•sijaintitietoja käsitellään automaattisessa päätöksenteossa, joilla on oikeusvaikutuksia tai vastaavia merkittäviä vaikutuksia
•sijaintitietoja käsitellään järjestelmällisen valvonnan yhteydessä
•sijaintitiedot paljastavat arkaluontoisia tai luonteeltaan hyvin henkilökohtaisia tietoja
•sijaintitietoja käsitellään laajamittaisesti
•sijaintitietoja sovitetaan yhteen tai yhdistetään muihin tietokokonaisuuksiin
•heikossa asemassa olevien rekisteröityjen sijaintitietoja käsitellään
•uusien teknisten ja organisatoristen ratkaisujen innovatiivisten käytön tai soveltamisen yhteydessä
•sijaintitietojen käsittely estää rekisteröityjä käyttämästä oikeutta tai palvelua
Tietosuojatyöryhmän ohjeen tietosuojaa koskevasta vaikutustenarvioinnista ja keinoista selvittää ”liittyykö käsittelyyn todennäköisesti” asetuksessa (EU) 2016/679 tarkoitettu "korkea riski" (annettu 04.04.2017) sivuilla 10 – 13 esitetään kriteereitä ja konkreettisia esimerkkejä käsittelytoimista, joiden osalta vaaditaan tietosuojaa koskeva vaikutustenarviointi niihin liittyvän korkean riskin vuoksi. Ohjeessa esitetään yhdeksän kriteeriä, joiden mukaan (poimittu vain tapaukseen soveltuvat) vaikutustenarviointi vaaditaan:
Erityisesti ”rekisteröidyn työsuorituksen, taloudellisen tilanteen, terveyden, henkilökohtaisten mieltymysten tai kiinnostuksen kohteiden, luotettavuuden tai käyttäytymisen, sijainnin tai liikkumisen” arviointi tai pisteytys, mukaan lukien profilointi ja ennakointi
Järjestelmällinen valvonta: rekisteröityjen tarkkailuun, seurantaan tai valvontaan käytettävä tietojenkäsittely sekä tietojen kerääminen verkkojen välityksellä tai ”yleisölle avoimen alueen järjestelmällinen valvonta laajamittaisesti”
Heikossa asemassa olevia rekisteröityjä koskevat tiedot (johdanto-osan 75 kappale): tämäntyyppisten tietojen käsittely on yksi kriteereistä, koska sen taustalla on rekisteröityjen ja rekisterinpitäjän välisten voimasuhteiden epätasapainon lisääntyminen, jonka vuoksi yksittäisten henkilöiden ei välttämättä ole helppo antaa suostumusta tai vastustaa tietojensa käsittelyä tai käyttää oikeuksiaan. Heikossa asemassa olevilla rekisteröidyillä tarkoitetaan esimerkiksi lapsia (heidän voidaan katsoa olevan kykenemättömiä tietoisesti ja harkiten vastustamaan tietojensa käsittelyä tai antamaan suostumuksen siihen), työntekijöitä, muita heikommassa asemassa olevia ja erityistä suojelua tarvitsevia väestöryhmiä (mielenterveysongelmista kärsivät henkilöt, turvapaikanhakijat tai ikääntyneet ihmiset, potilaat jne.) sekä kaikkia muita rekisteröityjä, joiden suhteessa rekisterinpitäjään voidaan havaita epätasapaino.
Rekisterinpitäjä voi useimmissa tapauksissa katsoa, että kaksi kriteeriä täyttävä käsittely edellyttää tietosuojaa koskevan vaikutustenarvioinnin tekemistä. Tietosuojatyöryhmä katsoo yleisesti ottaen, että mitä useampia kriteerejä käsittely täyttää, sitä todennäköisemmin se aiheuttaa korkean riskin rekisteröityjen oikeuksien ja vapauksien kannalta ja edellyttää sen vuoksi vaikutustenarviointia riippumatta rekisterinpitäjän kaavailemista toimenpiteistä.
Rekisterinpitäjä voi kuitenkin eräissä tapauksissa katsoa, että vain yhden näistä kriteereistä täyttävä käsittely edellyttää tietosuojaa koskevan vaikutustenarvioinnin tekemistä.
SAATU SELVITYS
Rekisterinpitäjä on ottanut käyttöön sähköisen ajopäiväkirjajärjestelmän vuonna 2017. 18.12.2018 alkaen järjestelmän käyttötarkoituksiin on kuulunut järjestelmästä saatavien sijaintitietojen avulla tapahtuva työntekijöiden työajan seuranta.
JOHTOPÄÄTÖS
Koska työntekijöitä on pidettävä työnantajaansa nähden heikossa asemassa ja sijaintitietoja on käsitelty järjestelmälisenä valvontana pidettävän työajan seurannan yhteydessä, aiheuttaa edellä mainittu henkilötietojen käsittely saadun selvityksen perusteella asiaan liittyvät oikeusohjeet huomioiden todennäköisesti työntekijöiden oikeuksien ja vapauksien kannalta korkean riskin. Heikommassa asemassa olevien rekisteröityjen sijaintitietojen käsittely on myös mainittu tietosuojavaltuutetun julkaisemassa tietosuoja-asetuksen 35 artiklan 4 kohdan mukaisessa luettelossa käsittelytoimien tyypeistä, joiden yhteydessä rekisterinpitäjän tulee tehdä tietosuojaa koskeva vaikutustenarviointi.
2. Vaikutustenarvioinnin sisältö
SOVELLETTU LAINSÄÄDÄNTÖ
Tietosuoja-asetuksen 35 artiklan 7 kohdan mukaan vaikutustenarvioinnin on sisällettävä vähintään
a) järjestelmällinen kuvaus suunnitelluista käsittelytoimista, ja käsittelyn tarkoituksista, mukaan lukien tarvittaessa rekisterinpitäjän oikeutetut edut;
b) arvio käsittelytoimien tarpeellisuudesta ja oikeasuhteisuudesta tarkoituksiin nähden;
c) arvio 1 kohdassa tarkoitetuista rekisteröityjen oikeuksia ja vapauksia koskevista riskeistä; ja
d) suunnitellut toimenpiteet riskeihin puuttumiseksi, mukaan lukien suoja- ja turvallisuustoimet ja mekanismit, joilla varmistetaan henkilötietojen suoja ja osoitetaan, että tätä asetusta on noudatettu ottaen huomioon rekisteröityjen ja muiden asianomaisten oikeudet ja oikeutetut edut.
Tietosuoja-asetuksen 24 artiklan 1 kohdassa todetaan rekisterinpitäjän vastuusta seuraavaa:
Ottaen huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän on toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan tätä asetusta. Näitä toimenpiteitä on tarkistettava ja päivitettävä tarvittaessa.
SAATU SELVITYS
Rekisterinpitäjä on todennut, että vaikka muodollista vaikutustenarviointia ei ole tehty, se on kuitenkin arvioinut huolellisesti ajotietojärjestelmään liittyvää henkilötietojenkäsittelyä järjestelmän hankintavaiheessa ja sitä on myös käsitelty työntekijöiden kanssa.
JOHTOPÄÄTÖS
Tietosuojavaltuutettu toteaa, että vaikutustenarvioinnille ei ole asetettu tarkkoja muotovaatimuksia, mutta siitä olisi kuitenkin voitava todentaa tietosuoja-asetuksen 35 artiklan 7 kohdan mukaiset elementit.
Saadun selvityksen perusteella rekisterinpitäjän suorittaman arvioinnin ei ole osoitettu sisältäneen kaikkia tietosuoja-asetuksen 35 artiklan 7 kohdan mukaisia asioita, eikä tietosuoja-asetuksen 35 artiklan mukaista velvollisuutta näin ollen voida katsoa täytetyksi.
3. Sisäänrakennettu ja oletusarvoinen tietosuoja ja rekisterinpitäjän vastuu
SOVELLETTU LAINSÄÄDÄNTÖ
Tietosuoja-asetuksen 25 artiklassa todetaan sisäänrakennetun ja oletusarvoisen tietosuojan osalta seuraavaa.
Ottaen huomioon uusimman tekniikan ja toteuttamiskustannukset sekä käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset sekä käsittelyn aiheuttamat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit luonnollisten henkilöiden oikeuksille ja vapauksille rekisterinpitäjän on käsittelytapojen määrittämisen ja itse käsittelyn yhteydessä toteutettava tehokkaasti tietosuojaperiaatteiden, kuten tietojen minimoinnin, täytäntöönpanoa varten asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten tietojen pseudonymisointi ja tarvittavat suojatoimet, jotta ne saataisiin sisällytettyä käsittelyn osaksi ja jotta käsittely vastaisi tämän asetuksen vaatimuksia ja rekisteröityjen oikeuksia suojattaisiin.
Tietosuoja-asetuksen 24 artiklassa todetaan seuraavaa.
Ottaen huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän on toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan tätä asetusta. Näitä toimenpiteitä on tarkistettava ja päivitettävä tarvittaessa.
SAATU SELVITYS
Saadun selvityksen mukaan rekisterinpitäjä ei ole havainnut työntekijöiden sijaintitietojen käsittelyyn liittyen havainnut tarvetta vaikutustenarvioinnin tekemiselle osittain siksi, että käsittely on aloitettu ennen kuin kaikkia voimassa olevia oikeusohjeita on ollut saatavilla.
JOHTOPÄÄTÖS
Tietosuoja-asetuksen 25 artiklan mukainen sisäänrakennettu ja oletusarvoinen tietosuoja edellyttää rekisterinpitäjää toteuttamaan sellaiset tekniset ja organisatoriset toimenpiteet, joilla tietosuojalainsäädännön vaatimukset saataisiin sisällytettyä käsittelyn osaksi ja jotta käsittely vastaisi tämän asetuksen vaatimuksia ja rekisteröityjen oikeuksia suojattaisiin. Käsittelytoimien lainmukaisuutta tulee näin ollen arvioida säännöllisesti, jotta myös mahdolliset muutokset esimerkiksi oikeustilassa tai ohjeissa huomioidaan.
Tietosuoja-asetuksen 24 artiklan mukaan rekisterinpitäjän on toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet, jotta voidaan varmistaa ja osoittaa, että tietosuoja-asetusta noudatetaan. Näitä toimenpiteitä on tarvittaessa tarkistettava ja päivitettävä.
Rekisterinpitäjän työntekijöiden sijaintitietojen käsittely ei edellä kuvatun tavoin ole ollut sellaista, että se vastaisi tietosuoja-asetuksen vaatimuksia liittyen riskiperusteiseen lähestymistapaan ja vaikutustenarviointiin.
Näin ollen tietosuojavaltuutettu katsoo, että rekisterinpitäjä ei ole työntekijöiden sijaintitietojen käsittelyn käsittelytapojen määrittämisen ja itse käsittelyn yhteydessä toteuttanut riittäviä organisatorisia tai teknisiä toimenpiteitä, jotta tietosuojaperiaatteiden toteutuminen olisi saatu osaksi henkilötietojen käsittelyä ja jotta käsittelyn asianmukaisuus oltaisiin voitu varmistaa ja osoittaa.
Tietosuojalain 24 §:n mukaan hallinnollisen seuraamusmaksun määrää seuraamuskollegio, joka on antanut seuraavan päätöksen seuraamusmaksun määräämisestä.
SEURAAMUSKOLLEGION PÄÄTÖS
Seuraamusarviointi
Päätös
Ottaen huomioon tietosuojavaltuutetun edellä ilmenevä päätös asetuksen vastaisuudesta, seuraamuskollegio on arvioinut tietosuoja-asetuksen 83 artiklan perusteella tehokkaaksi, oikeasuhteiseksi ja varoittavaksi seuraamukseksi hallinnollisen seuraamusmaksun määräämisen.
Tietosuojavaltuutetun toimiston seuraamuskollegio määrää tietosuoja-asetuksen 58 artiklan 2 (i) kohdan ja 83 artiklan 4 (a) kohdan nojalla rekisterinpitäjälle määrältään 16. 000 (kuusitoistatuhatta) euron suuruisen hallinnollisen seuraamusmaksun valtiolle maksettavaksi.
Hallinnollisen seuraamusmaksun määrää arvioitaessa on otettu huomioon tietosuoja-asetuksen 83 artiklan 2 kohdan mukaiset ankaroittavat ja lieventävät seikat.
Perustelut
SOVELLETTU LAINSÄÄDÄNTÖ JA OIKEUSOHJEET
Tietosuoja-asetuksen 83 artiklan 1 kohdan mukaan tietosuoja-asetuksen rikkomisesta määrättävien hallinnollisten sakkojen määräämisen on kussakin yksittäisessä tapauksessa oltava tehokasta, oikeasuhteista ja varoittavaa.
Tietosuoja-asetuksen 83 artiklan 2 kohdan mukaan hallinnolliset sakot määrätään kunkin yksittäisen tapauksen olosuhteiden mukaisesti 58 artiklan 2 kohdan a–h ja j alakohdassa tarkoitettujen toimenpiteiden lisäksi tai niiden sijasta.
Kun päätetään hallinnollisen sakon määräämisestä ja hallinnollisen sakon määrästä, kussakin yksittäisessä tapauksessa tietosuoja-asetuksen 83 artiklan 2 kohdan mukaan on otettava asianmukaisesti huomioon seuraavat seikat:
a) rikkomisen luonne, vakavuus ja kesto, kyseisen tietojenkäsittelyn luonne, laajuus tai tarkoitus huomioon ottaen, sekä niiden rekisteröityjen lukumäärä, joihin rikkominen vaikuttaa, ja heille aiheutuneen vahingon suuruus;
b) rikkomisen tahallisuus tai tuottamuksellisuus;
c) rekisterinpitäjän tai henkilötietojen käsittelijän toteuttamat toimet rekisteröidyille aiheutuneen vahingon lieventämiseksi;
d) rekisterinpitäjän tai henkilötietojen käsittelijän vastuun aste, ottaen huomioon heidän 25 ja 32 artiklan nojalla toteuttamansa tekniset ja organisatoriset toimenpiteet;
e) rekisterinpitäjän tai henkilötietojen käsittelijän mahdolliset aiemmat vastaavat rikkomiset;
f) yhteistyön aste valvontaviranomaisen kanssa rikkomisen korjaamiseksi ja sen mahdollisten haittavaikutusten lieventämiseksi;
g) henkilötietoryhmät, joihin rikkominen vaikuttaa;
h) tapa, jolla rikkominen tuli valvontaviranomaisen tietoon, erityisesti se, ilmoittiko rekisterinpitäjä tai henkilötietojen käsittelijä rikkomisesta ja missä laajuudessa;
i) jos kyseiselle rekisterinpitäjälle tai henkilötietojen käsittelijälle on aikaisemmin määrätty samasta asiasta 58 artiklan 2 kohdassa tarkoitettuja toimenpiteitä, näiden toimenpiteiden noudattaminen;
j) 40 artiklan mukaisten hyväksyttyjen käytännesääntöjen tai 42 artiklan mukaisten hyväksyttyjen sertifiointimekanismien noudattaminen; ja
k) mahdolliset muut tapaukseen sovellettavat raskauttavat tai lieventävät tekijät, kuten rikkomisesta suoraan tai välillisesti saadut mahdolliset taloudelliset edut tai rikkomisella vältetyt tappiot
Tietosuoja-asetuksen 83 artiklan 4 kohdan mukaan: Seuraavien säännösten rikkomisesta määrätään 2 kohdan mukaisesti hallinnollinen sakko, joka on enintään 10 000 000 euroa, tai jos kyseessä on yritys, kaksi prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi:
rekisterinpitäjän ja henkilötietojen käsittelijän 8, 11, 25–39 ja 42 ja 43 artiklan mukaiset velvollisuudet.
Tietosuoja-asetuksen 24 artiklassa todetaan seuraavaa. Ottaen huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän on toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan tätä asetusta. Näitä toimenpiteitä on tarkistettava ja päivitettävä tarvittaessa.
Tietosuoja-asetuksen 25 artiklassa todetaan sisäänrakennetun ja oletusarvoisen tietosuojan osalta seuraavaa. Ottaen huomioon uusimman tekniikan ja toteuttamiskustannukset sekä käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset sekä käsittelyn aiheuttamat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit luonnollisten henkilöiden oikeuksille ja vapauksille rekisterinpitäjän on käsittelytapojen määrittämisen ja itse käsittelyn yhteydessä toteutettava tehokkaasti tietosuojaperiaatteiden, kuten tietojen minimoinnin, täytäntöönpanoa varten asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten tietojen pseudonymisointi ja tarvittavat suojatoimet, jotta ne saataisiin sisällytettyä käsittelyn osaksi ja jotta käsittely vastaisi tämän asetuksen vaatimuksia ja rekisteröityjen oikeuksia suojattaisiin.
Tietosuoja-asetuksen 32 artiklan 1 kohdan mukaan:
1. Ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten
a) henkilötietojen pseudonymisointi ja salaus;
b) kyky taata käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus;
c) kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa;
d) menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.
Tietosuoja-asetuksen johdanto-osan kohdan 148 mukaan: Jos kyseessä on vähäinen rikkominen tai jos määrättävä sakko olisi kohtuuton rasitus luonnolliselle henkilölle, voidaan sakon sijasta antaa huomautus.
REKISTERINPITÄJÄN PERUSTELUT
Rekisterinpitäjä on asiassa kuultuna kertonut seuraavaa.
Rekisterinpitäjä on toiminut vilpittömässä mielessä, eikä mahdollinen tietosuojaa koskeva lainsäädännön rikkomus ole ollut tahallinen tai tuottamuksellinen.
Seurausta harkittaessa on erityisesti otettava huomioon, että tilanteeseen sovellettava lainsäädäntö on ajotietojärjestelmän käyttöönottoa koskevan harkinnan aikaan tulkinnanvaraista ja käytännön tulkintaohjeistusta ei ole ollut. Rekisterinpitäjän näkemyksen mukaan hallinnollista sakkoa ei tulisi määrätä.
Hallinnollisten sakkojen määräämistä on pidettävänä kohtuuttomana huomioiden erityisesti, että rekisterinpitäjä on kaikissa tilanteissa pyrkinyt vilpittömästi noudattamaan sen lakisääteisiä velvoitteitaan, eikä käsittely ole johtanut rekisteröityjen osalta merkittävään riskien lisääntymiseen tai toteutuneisiin vahinkoihin rekisteröityjen näkökulmasta katsottuna.
Hallinnollisen sakon määräämistä ilman sitä, että sen kohteelle on annettu mahdollisuutta korjata toimintaansa, voidaan myös pitää erityisen kohtuuttomana ja hallinto-oikeudellisen suhteellisuusperiaatteen vastaisena ottaen huomion lainsäädännön tulkinnanvaraisuuden nyt käsiteltävässä asiassa.
a) rikkomisen luonne, vakavuus ja kesto, kyseisen tietojenkäsittelyn luonne, laajuus tai tarkoitus huomioon ottaen, sekä niiden rekisteröityjen lukumäärä, joihin rikkominen vaikuttaa, ja heille aiheutuneen vahingon suuruus;
Ajopäiväkirjajärjestelmän avulla on käsitelty säännöllisesti rekisterinpitäjän noin 47 henkilön sijaintitietoja. Rekisteröityjen määrä on verrattain pieni eikä kyse ole laajamittaisesta käsittelystä.
Rekisterinpitäjä on arvioinut huolellisesti ajotietojärjestelmään liittyvää henkilötietojenkäsittelyä järjestelmän hankintavaiheessa ja sitä on käsitelty työntekijöiden kanssa ja tästä on myös tiedotettu työntekijöitä. Vaikka muodollista vaikutustenarviointia ei ole tehty, rekisterinpitäjän arvion mukaan henkilötietojen käsittely ei ole sisältänyt sellaisia elementtejä, jotka aiheuttaisivat rekisteröidyille käsittelyyn liittyvän korkean riskin. Näin ollen muodollisen vaikutustenarvioinnin puuttuminen ei ole rekisterinpitäjän näkemyksen mukaan vaikuttanut olennaisella tavalla rekisteröityjen oikeuksiin ja vapauksiin.
b) rikkomisen tahallisuus tai tuottamuksellisuus;
Rekisterinpitäjä on pyrkinyt parhaan kykynsä mukaan noudattamaan soveltuvaa lainsäädäntöä ja minimoimaan henkilötietojen käsittelyyn liittyviä riskejä muun muassa valitsemalla luotettavaksi arvioimansa järjestelmäntoimittajan ja ottamalla käyttöön yleisesti käytössä olevan ajotietojärjestelmän, käsittelemällä järjestelmän käyttöönoton sekä käsittelyyn myöhemmin tehdyt muutokset etukäteen avoimesti yhtiön luottamusmiesten kanssa sekä tiedottamalla henkilöstöä asiasta.
Tietosuoja-asetuksen yleisluontoisuudesta johtuen rekisterinpitäjällä on ollut erittäin haastavaa havaita, että aiottu käsittely ajotietojärjestelmän avulla tarkoittaisi vaikutustenarvioinnin tekemistä. On otettava huomioon, että vaikutustenarviointia koskeva WP29:n ohjeistus on annettu vasta sen jälkeen, kun ajotietojärjestelmän käyttöönotosta ensimmäisen kerran informoitiin työntekijöitä (15.9.2016).
Olemassa olevan ohjeistuksen perusteella on ollut erittäin haastavaa ymmärtää, että rekisteröidyn välillistä paikannusta tarkoittavan käsittelyn aloittaminen olisi edellyttänyt vaikutustenarvioinnin suorittamista. Rekisterinpitäjän näkökulmasta kyse oli pääosin ajoneuvojen paikantamisesta verottajan vaatimuksien täyttämiseksi.
Lisäksi soveltamiskäytäntöä lainsäädännön uutuudesta johtuen ei ollut, joten mahdollisen rikkomuksen tahallisuuden tai tuottamuksellisuuden täyttymisen kynnys on korkea.
c) rekisterinpitäjän tai henkilötietojen käsittelijän toteuttamat toimet rekisteröidyille aiheutuneen vahingon lieventämiseksi;
Rekisterinpitäjä on väliaikaisesti estänyt teknisesti ajotietojärjestelmän käytön asian selvittämisen edellyttämäksi ajaksi siten, että järjestelmän paikannusominaisuus ei ole käytössä.
Rekisterinpitäjä on tietosuojavaltuutetun kuulemispyynnön jälkeen aloittanut kyseessä olevaa henkilötietojen käsittelyä koskevan vaikutustenarvioinnin suorittamisen.
d) rekisterinpitäjän tai henkilötietojen käsittelijän vastuun aste, ottaen huomioon heidän 25 ja 32 artiklan nojalla toteuttamansa tekniset ja organisatoriset toimenpiteet;
Organisatorisena toimenpiteenä rekisterinpitäjä on laatinut esimiehille suunnatun oh-jeistuksen, jossa on kuvattu järjestelmän käytössä noudatettavat periaatteet.
Lisäksi järjestelmän osalta on toteutettu seuraavat tekniset toimenpiteet: kaikki tiedot on suojattu salasanoilla, ja pääsy niihin on rajoitettu vain niille henkilöille, joilla on tähän perusteltu syy.
Järjestelmä on toimittajan ilmoituksen mukaisesti ”ISO 27001 tietosuojasertifioitu”, jonka osaltaan tulisi taata tietosuoja-asetuksen mukaisten tietoturvavelvoitteiden täyttymisen.
e) rekisterinpitäjän tai henkilötietojen käsittelijän mahdolliset aiemmat vastaavat rikkomiset;
Rekisterinpitäjällä ei ole aiempia tietosuojalainsäädännön noudattamista koskevia rikkomuksia.
f) yhteistyön aste valvontaviranomaisen kanssa rikkomisen korjaamiseksi ja sen mahdollisten haittavaikutusten lieventämiseksi;
Rekisterinpitäjä on tietosuojavaltuutetun selvityspyynnön vastaanotettuaan perehtynyt asiaan huolellisesti ja pyrkinyt aktiivisesti selvittämään esiin nousseet ongelmakohdat.
Rekisterinpitäjä on avoimesti tuonut havaintonsa tietosuojavaltuutetun tietoon sekä pyrkinyt kaikin käytettävissään olevin keinoin edistämään asian käsittelyä.
g) henkilötietoryhmät, joihin rikkominen vaikuttaa;
Käsittelyn kohteena ei ole ollut erityisiin henkilötietoryhmiin kuuluvia tietoja. Henkilöitä ei voi suoraan tunnistaa tiedoista, vaan ne paikantaminen on ollut luonteeltaan välillistä (paikannus kohdistuu ajoneuvoon). Lisäksi otettava huomioon, että rekisterinpitäjän työntekijät liikkuvat pareina, joten on sattumanvaraista kumpi työntekijöistä aktivoi ajotietojärjestelmän ja ajaa ajoneuvoa.
k) mahdolliset muut tapaukseen sovellettavat raskauttavat tai lieventävät tekijät, kuten rikkomisesta suoraan tai välillisesti saadut mahdolliset taloudelliset edut tai rikkomisella vältetyt tappiot.
Rekisterinpitäjä on ottanut ajotietojärjestelmän käyttöön, jotta se pystyisi noudattamaan verotukseen liittyviä velvoitteitaan (ajoneuvokuluja koskevat ALV-vähennykset). Rekisterinpitäjän tiedossa oli tapauksia, joissa verottaja oli ryhtynyt toimenpiteisiin lähialueen yrittäjiä kohtaan, koska verottajan mukaan paperinen ajopäiväkirja ei kaikissa tapauksissa luotettavasti todentanut työmatka-ajoja, varsinkin jos työntekijät eivät täyttäneet sitä ohjeiden mukaisesti. Yhtiössä oli huomautuksista huolimatta havaittu puutteita ajopäiväkirjan täyttämisessä ja tästä syystä siirryttiin ajotietojärjestelmään, joka kirjasi automaattisesti työmatkoja koskevat tiedot. Rekisterinpitäjän käsityksen mukaan aiemmin käytössä ollut ajotietojen manuaalinen kirjaus ei ollut riittävää verotuksen kannalta tarvittavien tietojen tallentamiseksi. Järjestelmän käyttöönoton pääperuste on ollut verottajan vaatimuksiin vastaaminen. Mitään muuta vastaavaa käytännön perustetta käyttöönotolle ei ole ollut.
Ajotietojärjestelmän poistaminen käytöstä johtaa siihen, että rekisterinpitäjä ei pysty noudattamaan verotuksellisia velvoitteitaan tältä osin, joka voi johtaa myös työntekijöille määrättäviin veroseuraamuksiin.
SEURAAMUSKOLLEGION PERUSTELUT
Rikkomisen luonne, vakavuus ja kesto
Tietosuojaa koskeva vaikutustenarviointi on tietosuoja-asetuksen keskeinen elementti. Vaikutustenarvioinnin tarkoituksena on auttaa tunnistamaan, arvioimaan ja hallitsemaan henkilötietojen käsittelyyn sisältyviä riskejä.
Tietosuoja-asetuksen 24, 25 ja 32 artikloissa keskeisenä tekijänä on mainittu käsittelyn aiheuttamat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit luonnollisten henkilöiden oikeuksille ja vapauksille. Näiden riskien tunnistaminen on sisäänrakennetun ja oletusarvoisen tietosuojan sekä henkilötietojen turvallisen käsittelyn lähtökohta. Vaikutustenarvioinnin tekemättä jättäminen on vakava puute, eikä rikkomusta voida pitää luonteeltaan vähäisenä.
Rekisterinpitäjän on kertomansa mukaan arvioinut huolellisesti käsittelyyn liittyviä riskejä, vaikka muodollista vaikutustenarviointia ei ole tehty. Tietosuoja-asetuksen 24 artikla asettaa kuitenkin rekisterinpitäjälle velvollisuuden toteuttaa riittävät toimenpiteet, joilla voidaan varmistaa ja myös osoittaa, että tietosuoja-asetusta noudatetaan.
Rekisterinpitäjä on käsitellyt työntekijöidensä sijaintitietoja ajopäiväkirjajärjestelmän avulla ajalla 2017-2020.
Tietosuoja-asetusta on alettu soveltaa toukokuussa 2018. Tietosuojatyöryhmän WP248 ohje tietosuojaa koskevasta vaikutustenarvioinnista ja keinoista selvittää ”liittyykö käsittelyyn todennäköisesti” asetuksessa (EU) 2016/679 tarkoitettu "korkea riski" on annettu huhtikuussa 2017 ja tietosuojavaltuutettu on päivittänyt luetteloa käsittelytoimista, joiden yhteydessä on tehtävä vaikutustenarviointi joulukuussa 2018.
Näin ollen rekisterinpitäjällä on katsottava olleen kohtuullinen aika saattaa nyt käsiteltävänä oleva henkilötietojen käsittely lainmukaiseksi, eikä laiminlyöntiä myöskään voida pitää kestoltaan erityisen lyhyenä.
Rikkomisen luonnetta, vakavuutta ja kestoa on tässä tapauksessa pidettävänä hallinnollisen sakon määräämistä puoltavina seikkoina.
Rekisteröityjen määrä ja heille aiheutunut vahinko
Asianomaisten rekisteröityjen määrää olisi arvioitava, jotta voidaan määrittää, onko kyse yksittäisestä tapauksesta vai ilmentääkö tapaus järjestelmällisempää rikkomista tai asianmukaisten käytäntöjen puutetta (Asetuksessa 2016/679 tarkoitettujen hallinnollisten sakkojen soveltamista ja määräämistä koskevat suuntaviivat s. 10).
Tapauksessa järjestelmän avulla on käsitelty säännöllisesti rekisterinpitäjän noin 47 henkilön sijaintitietoja. Näin ollen käsittely vaikuttaa merkittävään osaan rekisterinpitäjän henkilöstöstä, eikä rekisteröityjen suhteellisen vähäistä määrää siksi sellaisenaan voida tässä tapauksessa pitää sellaisena lieventävänä seikkana, jonka perusteella hallinnollisen sakko voitaisiin tässä tapauksessa jättää määräämättä.
Rekisteröidyille ei ole osoitettu aiheutuneen konkreettista taloudellista tai muuta aineellista vahinkoa todetun rikkomuksen seurauksena, mikä voidaan ottaa huomioon sakon määrää mitattaessa.
Rikkomisen tahallisuus tai tuottamuksellisuus
Rekisterinpitäjä on kertomansa mukaan toiminut vilpittömässä mielessä, eikä vaikutustenarvioinnin laiminlyönti näin ole ollut tahallista tai tuottamuksellista. Rekisterinpitäjän olisi kuitenkin tullut ottaa selvää ja olla tietoinen tietosuojaa koskevan lainsäädännön vaatimuksista, eikä rekisterinpitäjän näin ollen voida katsoa olleen perustellussa vilpittömässä mielessä siten, että sillä olisi asian ratkaisun kannalta merkitystä.
Rekisterinpitäjän mukaan rekisterinpitäjä on pyrkinyt noudattamaan soveltuvaa lainsäädäntöä, mutta sille on ollut haastavaa havaita, että työntekijöiden sijaintitietojen käsittely edellyttäisi vaikutustenarvioinnin tekemistä.
Tapaukseen liittyvät säännökset, erityisesti niiden pohjalta annetut oikeusohjeet huomioiden, eivät ole keskeiseltä sisällöltään sillä tavoin puutteellisia tai vaikeasti tulkittavia, että arvioinnissa tulisi rekisterinpitäjän tahallisuutta tai tuottamuksen astetta vähentävänä seikkana huomioon ottaa säännösten monitulkintaisuutta siten kuin rekisterinpitäjä on esittänyt.
Rekisterinpitäjän vastuulla on, että tietosuojaa koskevaa lainsäädäntöä noudatetaan. Tietämättömyys lain sisällöstä ei poista tätä vastuuta, eikä johda sanktion määräämättä jättämiseen. Näin ollen rekisterinpitäjän laintulkintaan liittyviä haasteita ei tässä tapauksessa voida pitää sellaisena lieventävänä seikkana, jonka perusteella hallinnollinen sakko voitaisiin jättää määräämättä.
Tietosuojatyöryhmän WP248 vaikutustenarviointia koskevan ohjeen mukaan rekisterinpitäjien on myös arvioitava, onko korkea riski todennäköinen, vaikka ne lopulta päättäisivät olla tekemättä tietosuojaa koskevaa vaikutustenarviointia (Tietosuojatyöryhmän WP248 ohje tietosuojaa koskevasta vaikutustenarvioinnista ja keinoista selvittää ”liittyykö käsittelyyn todennäköisesti” asetuksessa (EU) 2016/679 tarkoitettu "korkea riski", s. 14). Rekisterinpitäjä ei ole osoittanut, että se olisi asianmukaisesti arvioinut vaikutustenarvioinnin tarpeellisuutta, vaikkakin vaikutustenarviointi arvioinnin pohjalta on päätetty jättää tekemättä.
Tietosuoja-asetuksen 24 artiklan 1 kohdan mukaan rekisterinpitäjän on, ottaen huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit, toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan tätä asetusta. Näitä toimenpiteitä on tarkistettava ja päivitettävä tarvittaessa.
Saadun selvityksen perusteella voimassa olevaan lainsäädäntöön ei ole rekisterinpitäjän toimesta riittävästi perehdytty, eikä sitä ole näin ollen myöskään riittävällä tasolla noudatettu, mikä osaltaan osoittaa rikkomisen tuottamuksellisuutta.
Rekisterinpitäjän tuottamuksellinen toiminta puoltaa hallinnollisen sakon määräämistä.
Rekisterinpitäjän toimet rekisteröidyille aiheutuneen vahingon lieventämiseksi
Rekisterinpitäjä on tietosuojavaltuutetun kuulemispyynnön jälkeen aloittanut kyseessä olevaa henkilötietojen käsittelyä koskevan vaikutustenarvioinnin suorittamisen, mikä tulee ottaa huomioon sakon määrää laskettaessa.
Rekisterinpitäjän vastuun aste, ottaen huomioon tämän 25 ja 32 artiklan nojalla toteuttamat tekniset ja organisatoriset toimenpiteet
Rekisterinpitäjä on toteuttanut kohdassa rekisterinpitäjän perustelut luetellut tekniset ja organisatoriset toimenpiteet. Edellä mainittuja toimenpiteitä ei kuitenkaan ole pidettävä riittävinä, jotta rekisteröityjen oikeuksien ja vapauksien kannalta korkean riskin aiheuttama sijaintitietojen käsittely olisi tunnistettu ja siihen olisi reagoitu siten, että lainsäädännön vaatimukset täyttyisivät.
Rekisterinpitäjän tai henkilötietojen käsittelijän mahdolliset aiemmat vastaavat rikkomiset
Tietosuojavaltuutetun toimiston tiedon mukaan rekisterinpitäjällä ei ole vastaavia aiempia rikkomuksia.
Yhteistyön aste valvontaviranomaisen kanssa rikkomisen korjaamiseksi ja sen mahdollisten haittavaikutusten lieventämiseksi
Rekisterinpitäjä on noudattanut lainsäädännön edellyttämää yhteistyötä valvontaviranomaisen kanssa.
Henkilötietoryhmät, joihin rikkominen vaikuttaa
Käsittelyn kohteena ei ole ollut erityisiin henkilötietoryhmiin kuuluvia tietoja. Henkilöt voidaan välillisesti tunnistaa sijaintitiedoista.
Käsittelyn kohteen on kuitenkin ollut heikommassa asemassa olevia rekisteröityjä koskevia henkilötietoja, mikä vaikuttaa seuraamusarviointiin ankaroittavasti.
Mahdolliset muut tapaukseen sovellettavat raskauttavat tai lieventävät tekijät, kuten rikkomisesta suoraan tai välillisesti saadut mahdolliset taloudelliset edut tai rikkomisella vältetyt tappiot
Saadun selvityksen perusteella rikkomisella ei ole saavutettu merkittävää suoraa taloudellista etua tai vältetty tappiota.
Yhteenveto
Hallinnollisen seuraamusmaksun tulee olla yksittäistapauksessa tehokas, oikeasuhtainen ja varoittava.
Tehokkuuden, oikeasuhtaisuuden ja varoittavuuden osalta on todettava, ettei nyt käsiteltävänä olevassa tapauksessa pelkän yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukainen huomautus ole riittävä seuraus edellä mainitut seikat huomioiden.
Hallinnollinen sakko on tässä tapauksessa edellä mainituilla perusteilla tietosuoja-asetuksen 83 artiklan 1 kohdan edellyttämällä tavalla tehokas, oikeasuhtainen ja varoittava seuraamus, ja näin ollen sen voidaan katsoa olevan myös suhteellisuusperiaatteen mukainen.
Todetuista rikkomuksista 24, 25 ja 30 artiklan mukaiset rikkomukset ovat luonteeltaan tietosuoja-asetuksen 83 artiklan 4 (a) kohdan nojalla alemman vakavuusluokan rikkeitä.
Tietosuoja-asetuksen 83 artiklan 4 kohdan mukaan rekisterinpitäjälle tulee määrätä hallinnollinen sakko, joka on enintään 10 000 000 euroa, tai kaksi prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.
Kun rekisterinpitäjä on rikkonut samoissa tai toisiinsa liittyvissä käsittelytoimissa tahallaan tai tuottamuksellisesti useita tämän asetuksen säännöksiä, hallinnollisen sakon kokonaismäärä ei saa ylittää vakavimmasta rikkomisesta määrättyä sakkoa.
Hallinnollisen seuraamusmaksun tulee olla määrältään oikeasuhteinen, kun huomioidaan rekisterinpitäjän liiketoiminta ja sen taloudellinen tilanne. Hallinnollisen seuraamusmaksua määrätessä huomioidaan rekisterinpitäjän edeltävän tilikauden vuotuinen maailman laajuinen kokonaisliikevaihto. Rekisterinpitäjän vuoden 2019 liikevaihto on ollut noin 20,34 miljoonaa euroa.
JOHTOPÄÄTÖKSET
Tietosuojavaltuutetun toimiston seuraamuskollegio katsoo, että tietosuojavaltuutetun toteamat tietosuoja-asetusta koskevat rikkomukset ovat rikkomusten luonne ja vakavuus, tuottamuksellisuus ja rekisteröityjen heikompi asema suhteessa rekisterinpitäjään huomioon ottaen sellaisia, että tehokas, oikeasuhteinen ja varoittava seuraamus on tietosuojavaltuutetun antamien huomautusten lisäksi määrältään 16 000 euron suuruinen hallinnollinen seuraamusmaksu.
Sakon määrää alentavina seikkoina on huomioitu rekisteröityjen suhteellisen vähäinen määrä sekä se, että rekisterinpitäjä on aloittanut tietosuojaa koskevan vaikutustenarvioinnin tekemisen asian edetessä.
Seuraamuskollegion tiedossa ei ole, että seuraamus olisi ristiriidassa eurooppalaisen seuraamuskäytännön kanssa.
Päätös on lainvoimainen.